Investor's wiki

Informazioni di identificazione personale (PII)

Informazioni di identificazione personale (PII)

Che cosa sono le informazioni di identificazione personale (PII)?

Le informazioni di identificazione personale (PII) sono informazioni che, se utilizzate da sole o con altri dati rilevanti, possono identificare un individuo.

Le PII possono contenere identificatori diretti (es. informazioni sul passaporto) che possono identificare una persona in modo univoco, o quasi-identificatori (es. razza) che possono essere combinati con altri quasi-identificatori (es. data di nascita) per riconoscere con successo un individuo.

Comprendere le informazioni di identificazione personale

Le piattaforme tecnologiche avanzate hanno cambiato il modo in cui operano le aziende, i governi legislano e le persone si relazionano. Con strumenti digitali come telefoni cellulari, Internet, e-commerce e social media, c'è stata un'esplosione nella fornitura di tutti i tipi di dati.

I big data,. come vengono chiamati, vengono raccolti, analizzati ed elaborati dalle aziende e condivisi con altre aziende. La ricchezza di informazioni fornite dai big data ha consentito alle aziende di ottenere informazioni su come interagire al meglio con i clienti.

Tuttavia, l'emergere dei big data ha anche aumentato il numero di violazioni dei dati e attacchi informatici da parte di entità che si rendono conto del valore di queste informazioni. Di conseguenza, sono state sollevate preoccupazioni su come le aziende gestiscono le informazioni sensibili dei loro consumatori. Gli organismi di regolamentazione stanno cercando nuove leggi per proteggere i dati dei consumatori, mentre gli utenti sono alla ricerca di modi più anonimi per rimanere digitali.

Informazioni di identificazione personale sensibili e non sensibili

PII sensibili

Le informazioni di identificazione personale (PII) possono essere sensibili o non sensibili. Le informazioni personali sensibili includono statistiche legali come:

L'elenco di cui sopra non è affatto esaustivo. Le aziende che condividono i dati sui propri clienti utilizzano normalmente tecniche di anonimizzazione per crittografare e offuscare le PII, quindi vengono ricevute in una forma non identificabile personalmente. Una compagnia di assicurazioni che condivide le informazioni dei suoi clienti con una società di marketing maschererà le PII sensibili incluse nei dati e lascerà solo le informazioni relative all'obiettivo della società di marketing.

PII non sensibili

Le PII non sensibili o indirette sono facilmente accessibili da fonti pubbliche come rubriche telefoniche, Internet e directory aziendali. Esempi di PII non sensibili o indiretti includono:

  • Cap

  • Gara

  • Genere

  • Data di nascita

  • Luogo di nascita

  • Religione

L'elenco di cui sopra contiene quasi-identificatori ed esempi di informazioni non sensibili che possono essere divulgate al pubblico. Questo tipo di informazioni non può essere utilizzato da solo per determinare l'identità di un individuo.

Tuttavia, le informazioni non sensibili, sebbene non delicate, sono collegabili. Ciò significa che i dati non sensibili, se utilizzati con altre informazioni personali collegabili, possono rivelare l'identità di un individuo. Le tecniche di de-anonimizzazione e reidentificazione tendono ad avere successo quando più insiemi di quasi-identificatori vengono messi insieme e possono essere utilizzati per distinguere una persona da un'altra.

La regolamentazione e la tutela delle informazioni di identificazione personale (PII) saranno probabilmente una questione dominante per individui, società e governi negli anni a venire.

Protezione delle informazioni di identificazione personale (PII)

Molteplici leggi sulla protezione dei dati sono state adottate da vari paesi per creare linee guida per le aziende che raccolgono, archiviano e condividono le informazioni personali dei clienti. Alcuni dei principi di base delineati da queste leggi affermano che alcune informazioni sensibili non dovrebbero essere raccolte se non in situazioni estreme.

Inoltre, le linee guida normative stabiliscono che i dati dovrebbero essere cancellati se non sono più necessari per lo scopo dichiarato e le informazioni personali non dovrebbero essere condivise con fonti che non possono garantirne la protezione.

I criminali informatici violano i sistemi di dati per accedere alle PII, che vengono poi vendute ad acquirenti volontari nei mercati digitali sotterranei. Ad esempio, nel 2015, l'IRS ha subito una violazione dei dati che ha portato al furto di PII di oltre centomila contribuenti.

Utilizzando quasi-informazioni rubate da più fonti, gli autori sono stati in grado di accedere a un'applicazione del sito Web dell'IRS rispondendo a domande di verifica personale che avrebbero dovuto essere a conoscenza solo dei contribuenti.

La salvaguardia delle PII potrebbe non essere sempre di esclusiva responsabilità di un fornitore di servizi. In alcuni casi, può essere condiviso con l'individuo.

Informazioni di identificazione personale in tutto il mondo

La definizione di ciò che comprende le PII varia a seconda di dove vivi nel mondo. Negli Stati Uniti, il governo ha definito "identificabile personalmente" nel 2020 tutto ciò che può "essere utilizzato per distinguere o tracciare l'identità di un individuo" come nome, SSN e informazioni biometriche; da solo o con altri identificatori come la data di nascita o il luogo di nascita.

Nell'Unione Europea (UE), la definizione si espande per includere i quasi-identificatori come delineato nel Regolamento generale sulla protezione dei dati ( GDPR) entrato in vigore a maggio 2018. Il GDPR è un quadro giuridico che stabilisce le regole per la raccolta e il trattamento dei dati personali informazioni per i residenti nell'UE.

Informazioni di identificazione personale rispetto ai dati personali

I dati personali comprendono una gamma più ampia di contesti rispetto alle PII. Ad esempio, il tuo indirizzo IP, numeri ID del dispositivo, cookie del browser, alias online o dati genetici. Alcuni attributi come religione, etnia, orientamento sessuale o storia medica possono essere classificati come dati personali ma non come informazioni di identificazione personale.

Esempio di informazioni di identificazione personale

All'inizio del 2018, Facebook Inc. (META), ora Meta, è stata coinvolta in una grave violazione dei dati. I profili di 30 milioni di utenti di Facebook sono stati raccolti senza il loro consenso da una società esterna chiamata Cambridge Analytica. Cambridge Analytica ha ottenuto i suoi dati da Facebook attraverso un ricercatore che ha lavorato all'Università di Cambridge. Il ricercatore ha creato un'app di Facebook che era un quiz sulla personalità. Un'app è un'applicazione software utilizzata su dispositivi mobili e siti Web.

L'app è stata progettata per raccogliere le informazioni da coloro che si sono offerti volontari per dare accesso ai propri dati per il quiz. Sfortunatamente, l'app non ha raccolto solo i dati dei partecipanti al quiz ma, a causa di una lacuna nel sistema di Facebook, è stata in grado di raccogliere anche dati dagli amici e dai familiari dei partecipanti al quiz.

Di conseguenza, oltre 50 milioni di utenti di Facebook hanno avuto i propri dati esposti a Cambridge Analytica senza il loro consenso. Sebbene Facebook abbia vietato la vendita dei loro dati, Cambridge Analytica si è girata e ha venduto i dati per essere utilizzati per consulenze politiche. Mark Zuckerberg,. fondatore e CEO di Facebook, ha rilasciato una dichiarazione all'interno del comunicato degli utili del primo trimestre 2019 dell'azienda:

Ci concentriamo sulla costruzione della nostra visione incentrata sulla privacy per il futuro dei social network e sul lavoro collaborativo per affrontare questioni importanti su Internet.

La violazione dei dati non ha colpito solo gli utenti di Facebook, ma anche gli investitori. I profitti di Facebook sono diminuiti del 50% nel primo trimestre del 2019 rispetto allo stesso periodo dell'anno precedente. La società ha accumulato $ 3 miliardi di spese legali e avrebbe avuto un utile per azione di $ 1,04 in più senza le spese, affermando:

Stimiamo che l'intervallo di perdita in questa materia sia compreso tra $ 3,0 miliardi e $ 5,0 miliardi. La questione rimane irrisolta e non ci possono essere garanzie sui tempi o sui termini di qualsiasi esito finale.

Il giorno successivo, il 25 aprile 2019, Meta ha annunciato che avrebbe bandito i quiz sulla personalità dalla sua piattaforma.

Le aziende investiranno senza dubbio in modi per raccogliere dati, come le informazioni di identificazione personale (PII), per offrire prodotti ai consumatori e massimizzare i profitti. Tuttavia, negli anni a venire incontreranno normative più rigorose.

Mette in risalto

  • Le informazioni di identificazione personale non sensibili sono facilmente accessibili da fonti pubbliche e possono includere il tuo codice postale, razza, sesso e data di nascita.

  • I siti di social media possono essere considerati informazioni di identificazione personale non sensibili.

  • I passaporti contengono informazioni di identificazione personale.

  • Le informazioni personali sensibili possono includere il tuo nome completo, numero di previdenza sociale, patente di guida, informazioni finanziarie e cartelle cliniche.

  • Le informazioni di identificazione personale (PII) utilizzano i dati per confermare l'identità di un individuo.

FAQ

Cosa non è PII?

I dati personali non sono classificati come PII e dati non personali come l'azienda per cui lavori, dati condivisi o dati anonimi.

Cosa si qualifica come PII?

Le informazioni di identificazione personale sono definite dal governo degli Stati Uniti come: "Informazioni che possono essere utilizzate per distinguere o tracciare l'identità di un individuo, come il nome, il numero di previdenza sociale, i record biometrici, ecc. da soli, o se combinati con altre informazioni personali o identificative che è collegato o collegabile a un individuo specifico, come data e luogo di nascita, cognome da nubile della madre, ecc.”

Quali leggi proteggono le PII?

Varie leggi federali e statali sulla protezione dei consumatori proteggono le PII e ne sanzionano l'uso non autorizzato; per esempio, il Federal Trade Commission Act e il Privacy Act del 1974.

Cosa devi fare quando invii le PII via email?

Poiché l'e-mail non è sempre sicura, cerca di evitare di inviare informazioni personali tramite e-mail. Se necessario, utilizzare la crittografia o le tecniche di verifica sicura.

Che cos'è una violazione delle PII?

Le violazioni delle PII sono illegali e spesso implicano frodi come il furto di identità. Le violazioni possono derivare anche da accesso, uso o divulgazione non autorizzati di PII. Anche la mancata segnalazione di una violazione delle PII può essere una violazione.